Når barn og barnevernsaker eksponeres i

Når barn og barnevernsaker eksponeres i

media

Datatilsynet

• Opprettet 1980, lokalisert i Oslo

• 51 medarbeidere

• Særlig uavhengig

forvaltningsorgan under KMD

• To roller – forvaltning og ombud

• Regelverk:

– Personopplysningsloven – Helseregisterloven

– Pasientjournalloven – Helseforskningsloven – Politiregisterloven – Lov om Schengen

informasjonssystem – mv.

• Personvernnemnda er klageorgan for våre vedtak

2

Personvern

Hva er det?

Side 3

Privatlivets fred og individets integritet

Formålsbegrensing Proposjonalitet

Medbestemmelse Retten til å bli

glemt

Samtykke Informert Resosialisering Anonymitet

Personopplysninger

Hva er det?

Side 5

Personopplysninger

• Opplysninger og vurderinger som kan knyttes til en enkeltperson

• Knut B. Kaspersen (180455 xxxxx)

• Direkte eller indirekte identifiserbart

• Indirekte kan være opplysninger som beskriver en person uten bruk av

identifikatorer.

• Mann 61, lite hår, med briller ansatt i Datatilsynet

Side 6

Personopplysninger – hva er det?

7

Peder Aas 2020 Lillevik

F.nr 180262 34997

Personopplysninger

• Fødselsnummer: 13087846271

• Telefonnummer: 22396900

• IP-adresse: 195.159.103.82

• Bilnummer: BL 23456

• Bluetooth MAC: 17:35:52:78:4B:CA

• Wi-Fi-adresse MAC: 12:44:32:45:7B:C9

• Autpass-brikke-ID: 7483920983278394

8

Sensitive personopplysninger

9

Personopplysninger – hvor er de?

10

Hvordan etterleve loven?

11

12

Internkontroll

• Få oversikt over hvilke personopplysninger som behandles og klassifiser dem fra sensitive til ikke- sensitive.

• Lag rutiner og regler for:

– Innsyn – Samtykke

– Retting og sletting – Informasjon

Kartlegge virksomhetens behandlinger

Virksomheten skal ha oversikt over personopplysningene

• Nødvendig for å ivareta sine plikter.

• Grunnlag for sikkerhetsmål og sikkerhetsstrategi.

• Underlag for risikovurderinger.

13 Informasjon

Formål

Behandlings- grunnlag

Melding/

Konsesjon

Klassifikasjon Sikkerhets- tiltak

Lagring og kommuni- kasjon

Opplysningenes omfang

Avdeling Databehandler

Lønn og personal:

lønnsopplysninger personalopplysninger

Personopplysning sloven, §8f

Unntatt i forskriftens § 7-16

Person- opplysninger

Ca. 130 ansatte

Barnevern:

vurdering og tiltak

Barnevernloven,

§3-1

Meldt 14.01.2009

Sensitive person- opplysninger

Ca. 68 barn og foresatte Helseopplysninger:

pasientjournal

Helsepersonel- loven §39

Meldt 14.01.2009

Sensitive person- opplyninger

Ca. 413 pasienter Elevadministrasjon

elever / foresatte lærere

Opplæringsloven

§13-5

Person- opplyninger

Ca. 219 søkere

Hendelsesregister:

logg over brudd

Personopplysning sloven, §13

Unntatt i forskriftens § 7-11

Person- opplyninger

Arkivlogg, nettverkslogg og serverlogg, PC- logger

Dokumentasjon av internkontrollsystemet

• Det er et lovpålagt krav at internkontrollsystemet skal være dokumentert.

• Dokumentasjonen er delt i tre emner:

1. Styrende dokumentasjon som ledelsen er ansvarlig for å utarbeide.

2. Gjennomførende dokumentasjon med rutiner og tiltak for daglig drift.

3. Kontrollerende dokumentasjon med rutiner for oppfølging, korrigering og forbedring av internkontroll og

informasjonssikkerhet.

14

Den registrertes rettigheter

Den behandlingsansvarlige er pålagt å ha rutiner for å oppfylle den registrertes rettigheter.

• Plikt til å informere når det samles inn opplysninger fra den registrerte er beskrevet i personopplysningsloven § 19.

• Plikt til å informere når det samles inn opplysninger fra andre enn den registrerte, er beskrevet i personopplysningsloven § 20.

• Virksomheten skal ha rutine for behandling av forespørsel om innsyn fra mulig registrerte

• Virksomheten skal ha rutine for behandling av forespørsel om retting og sletting for en registrert.

15

Bilder av barn

16

Hva er problemet?

• Forholde seg til et regelverk som kan virke vanskelig

tilgjengelig

• Tillatelse fra foreldrene

Regelverket

• På noen bilder er hovedfokus én eller flere bestemte

personer. Da skal man alltid ha samtykke. Hvis de som er avbildet er under 15 år, må også de foresatte samtykke.

Ha som hovedregel:

Spør alltid om samtykke!

På andre bilder er det selve situasjonen eller aktiviteten som er hovedfokus i bildet. Vanligvis kan slike bilder offentliggjøres uten samtykke fra de avbildede så lenge bildene er harmløse og ikke på noen måte kan føles krenkende for de som er avbildet. Bildene skal heller ikke skal virke krenkende ut fra sammenhengen de benyttes i.

Hva er problemet?

• Forholde seg til et regelverk som kan virke vanskelig

tilgjengelig

• Tillatelse fra foreldrene

• Passordbeskyttelse

• Sletting – videre bruk

• Journalistiske formål

• Gruppebilder / klassebilder

• Politiske sammenhenger

• Misbrukspotensialet

• Etiske vurderinger

• Den totale mengden bilder av barna på nett allerede i ung alder

• Paradoks:

• Barn og unge skal lære fornuftig bruk av Internett; de skal tenke seg om før de publiserer noe om seg selv eller andre

• Allerede fra dagen de er født opplever de at foreldre og andre (ukritisk?) teppelegger nettet med bilder av dem..

• Hvordan lære seg gode nettvaner da?

• Sett av tid på et personalmøte til å gå gjennom Datatilsynets veileder, ”I beste mening…”

• Lag egne interne regler

• Lag et skreddersydd og tydelig samtykkeskjema

• Fremfor alt; vurder hvert enkelt bilde før det legges på nett. Er det virkelig nødvendig å legge det ut? Kan

barnehagen vurdere å benytte andre måter å vise bildene på?

05.12.2016 Side 25

Bilder av barn på nett

• Når vi voksne synes det bare er gøy

1. Feriebilder

2. Portrett vs. Lagbilde 3. Barnet gråter

4. Bløtkakebilde 5. Down syndrom

“He realized his caramel apple has an apple in it.”

Submitted By: XXXXX

Location: Wisconsin, United States

26

Bilder av barn på nett

• Barnet brukes i de voksnes interesse

1. Ved skilsmisse 2. Mot barnevernet 3. Protestarena

• Digital mobbing

• Barnet brukes for å verne om dets interesser

1. Barneombudet – You Tube

27

Barnevernssaker på nett

• Taushetsplikten

• Foreldrene gir opplysninger selv

28

Barnevernssaker på nett

• Hva kan barneverntjenesten gjøre

• Delta i debatten

• Begrensninger

• Barnets situasjon

• Hvilke opplysninger er offentlig kjent

• Korrigeringer

• Nye konkrete opplysninger

• Ingen berettiget interesse

• Saken skal ikke kommenteres

• Hva når foreldrene gir samtykke til barnevernet?

29

Reaksjon

• Foreldre kan straffes – privatlivets fred strl. § 267

• Erstatningspliktig

30

Barnevernssaker på nett - avvik

• Postjournal på nett

• Fulltekstdokumentasjon på nett

31

Trakasering av ansatte (fagpersonale) på nett

32

Norske leger henges ut på

nettside om barnevern

Trakasering av ansatte på nett

• Nettstedene inneholder lister med over 400 navn på psykologer, barnevernsansatte, politikere, advokater, journalister og andre, der disse kritiseres og

karakteriseres. De fleste opplistede er offentlige

tjenesteutøvere. Personopplysningene som finnes på sidene er personnavn, yrke, bosted og tittel. Noen av de opplistede er også avbildet.

Trakasering av ansatte på nett

• Hvor går grensen?

• Når formålet utelukkende er ment for å påvirke opinionen og diskusjonen i det offentlige rom

• Grunnloven § 100 vern av ytringer

• Etiske prinsipper i vern av enkeltindivid

• Grense mot det straffbare

• Sjikane vs. Trusler

• Informasjon om beredskapshjem – PVN-2010-11

34

Sletting i barnevernjournal

• Kvalitetssikring av personopplysninger

• Sletting/retting/supplering/sperres/arkiveres

• Sosialrapport i sin helhet

• Oslo kommune – barnehageplass

• Lillehammer kommune

• Tysnes kommune PVN-2013-02

• Barnevernsenter – PVN -2003-04 (supplering)

• Barneverntjenesten – PVN-2013-06

• Fosterforeldre – PVN-2012-05

35

Kontroll av Fylkesnemnda

• Informasjonssikkerhet

• Arkiv vs lagring på lokal server

• telefaks

36

Tekniske tiltak

37

Tilgangsstyring

= autentisering, autorisasjon, sporbarhet

• Hvem skal ha tilgang til hvilke personopplysninger,

• for hvilke brukere,

• hvilke informasjonselementer,

• i hvilket tidsrom

• evt. andre forutsetninger

Disse fem faktorene må balanseres. Hva kan vi leve med og hvor bør grensene gå?

38

Autentisering

Hva skal til for å bevise at du er den du hevder du er?

Kravet til autentisering avhenger av risiko.

Ved sensitive opplysninger eller andre opplysninger med behov for konfidensialitetsbeskyttelse:

• Brukernavn, passord og kontroll over nettverk eller

• På internett kreves to-faktor-autentisering, typisk brukernavn, passord og en ekstra faktor

• Passordkrav

39

Logging

• Autorisert bruk av informasjonssystemet skal registreres

• Forsøk på uautorisert bruk av informasjonssystemet skal registreres

• Bruk av logg

• Ved henvendelser fra den registrerte

• Ved tips om misbruk

• Stikkprøveanalyse

• Automatiserte analyser

40

Saksbehandlere skal…

• ikke avgjøre hvordan opplysningen skal sikres

• forskånes fra å være i tvil om hvordan han skal håndtere opplysningene

– Vite hvilke rutiner som finnes

– Vite hvem som er ansvarlig for å gi hjelp

– Vite hvem som skal orienteres om problemer

• følge ledelsens rutiner

• rapportere avvik

– Avvik fra rutiner

– Manglende eller ufullstendige rutiner

41

Informasjonssikkerhet – et ledelsesansvar

• Det forventes ikke alltid at øverste leder har inngående kunnskap om informasjonssikkerhet

• Derimot forventes det at personopplysninger er sikret på en forsvarlig måte, og at øverste leder kan garantere at dette blir gjort. I praksis betyr det å sørge for at

virksomheten har oversikt over:

– hvilke plikter som gjelder

– hvordan opplysninger behandles og sikres

– at alle rutiner knyttet til dette er godkjent og blir fulgt opp av alle ansatte

42

Risikovurdering

43

Thinkstock.com

Konsekvens

Risikovurdering – trinn for trinn

Sannsynlighet

• Kartlegg og klassifiser alle behandlinger

• Identifiser uønskede hendelser (og årsaker!)

• Konsekvensvurdering (1-4)

• Sannsynlighetsvurdering (letthet 1-4)

Sammenlign resultater og iverksett tiltak for å komme innenfor akseptabel risiko.

44

AVVIK

45

Behandling av avvik

• Dersom personopplysninger håndteres i strid med fastlagte rutiner, eller det er mistanke om eller

dokumentert brudd på informasjonssikkerhet, skal virksomheten iverksette avviksbehandling

• Formålet med avviksbehandling er å lukke avviket så raskt som mulig, gjenopprette normal tilstand og hindre gjentagelse

• Når man behandler avvik er det viktig å:

• Iverksette strakstiltak, blant annet med det formål å avgrense eventuelle følgeskader

• Iverksette korrigerende tiltak for permanent å gjenopprette normal tilstand

• Vurdere hvorvidt korrigerende tiltak fungerer etter sin hensikt

• Varsle Datatilsynet når dette er pålagt (forskriften § 2-6, 3. ledd)

46

47

Personopplysninger på avveie – eks.

Fulltekstpublisering av dokumenter

• Kommune

• Stat

48

KOMMUNENE

• Tidlig ute med løsning

• Lite føringer fra sentrale ”myndigheter” (KS)

• Prøve og feile-metoden

• Hva gikk galt?

05.12.2016 Side 49

STAT

• HVA SKJER I DAG?

• OEP-LØSNING

• AKTUELLE ALTERNATIVER

• Innsendelse av lenke til OEP med opprettelse av lokal database

• Innsendelse av dokumentet til en sentral database i OEP

05.12.2016 Side 50

PERSONVERNMESSIGE KONSEKVENSER

• VED PUBLISERING

• RISIKOVURDERING

• FØRINGER FOR PUBLISERING

• HINDRE SKYGGEDATABASER”

• HINDRE INDEKSERING FRA EKSTERNE SØKEMOTORER

05.12.2016 Side 51

VED PUBLISERING

• PERSONOPPLYSNINGSLOVEN GJELDER FULLT UT

• §§ 8 og 9

• § 11

• §§ 13 og 14

05.12.2016 Side 52

RISIKOVURDERING

• HVILKE PERSONOPPLYSNINGER SOM PUBLISERES

• Hvilke tiltak er iverksatt for å hindre at det skjer avvik

05.12.2016 Side 53

FØRINGER FOR PUBLISERING

• SKAL PERSONOPPLYSNINGER PUBLISERES

• HVILKE PERSONOPPLYSNINGER SKAL PUBLISERES

• VEILEDNING ELLER

• BESTEMTE OG KLARE FØRINGER

• KONSEKVENSER FOR BORGEREN

• PERSONVERNERKLÆRING

05.12.2016 Side 54

HINDRE INDEKSERING FRA SØKEMOTORER

• Google, Kvasir o.a.

• Hvorfor er dette viktig?

• Hva må til?

• Ålesund-vedtaket

• No robot ikke nok

05.12.2016 Side 55

KASUISTIKK

• ANDEBU KOMMUNE (spesialskole)

• RÅDE KOMMUNE (attføringsmappe)

• NORDFJORDEID KOMMUNE

• ST. OLAV HOSPITAL

• PPT – MINNEPENN

• RANA KOMMUNE

• OPPSIGELSE AV TRENER

• SYKEPLEIER TAUSHETSPLIKT

05.12.2016 Side 56

KASUISTIKK

• Personalsak – ved bytte av system

• Journalmappe på 15 psykisk utviklingshemmede

• Universitetet i Oslo – fødselsnummer - gjentagelse

• Kommune – helseerklæring - handikapplass

• Hacking – politiske parti

• Kommune – skanning av «bunker» med dokumenter (skilleark)

05.12.2016 Side 57

Det nye regelverket

Kjennetegn

• Noen sier at vi går fra hefte til bok

– Her er det nok noen modifikasjoner

• Det sies også at det nye lovverket er som en Sveitserost

– Like mye hull som ost - som kan fylles med nasjonale tilpasninger – Også her er det mange modifikasjoner

• Det gamle direktivet var nok betydelig mer Sveitserost

• Derfor er vår personopplysningslov med forskrift ganske forskjellig fra mange andre land i Europa

– Forordningen gir oss betydelig mer enhetlig lovverk innenfor EU/EØS

59

Bakgrunn

• Arbeidet startet i 2012

• Vedtatt i 2016 og trer i kraft i 2018

• Felles regelverk for personvern i Europa

• Styrke den europeiske borgers rettigheter

• Gjøre det lettere å utveksle personopplysninger over landegrenser

• Styrke tilliten til digitale tjenester

• Sikre samarbeid mellom personvernmyndigheter

60

Hva gjør Datatilsynet?

• Bistår Justis- og beredskapsdepartementet og Kommunal- og moderniseringsdepartementet

• Eget internprosjekt

– IKT

– Juridisk – WEB

– Personvernombud – Kommunikasjon

• Deltar i internasjonalt arbeid og bidrar til utredninger

61

Alle norske virksomheter får nye plikter

62

• Alle må finne ut hva regelverket betyr

• Nye rutiner er et ledelsesansvar

• Alle ansatte skal følge nye rutiner

Alle skal ha en forståelig personvernerklæring

63

• Informasjonen skal være lett tilgjengelig

• Klart språk som er tilpasset leserens nivå

• Stilles krav til hvilke opplysninger som skal gis

Alle skal vurdere risiko og personvernkonsekvenser

• I tillegg til en risikovurdering skal man utrede tiltak med stor personvernrisiko

• Ved høy risiko, som ikke kan begrenses, skal vi involveres i forhåndsdrøftelser

• Forordningen stiller krav til vår behandlingstid

• Vi kan veilede eller forby behandlingen

64

Alle skal bygge personvern inn i nye løsninger

• Nye krav til løsninger, tiltak og systemer

• Skal utarbeides på mest mulig personvernvennlig måte

• Den mest personvernvennlige innstilingen som standard

65

Mange virksomheter må opprette personvernombud

• Personvernombudsordningen går fra frivillig til obligatorisk

• Alle offentlige virksomheter

• Mange private

• Krav til kompetanse

• Krav til å involvere ombudet

66

Alle databehandlere får nye plikter

• Egne rutiner for behandling av personopplysninger

• Si ifra om instrukser er i strid med loven

• Underleverandører skal godkjennes

• Melde avvik til behandlingsansvarlig

• Kan bli erstatningspliktige

67

Alle bør samarbeide i egne nettverk og følge bransjenormer

• Sektorvis utforming av retningslinjer

• Sikrer at de viktigste rutinene er på plass

• Flere fordeler ved å følge disse

• Datatilsynet skal godkjenne bransjenormer

68

Alle får nye krav til avvikshåndtering

• Strengere regler enn i dag

• Melde avvik innen 72 timer

• Stilles krav til innholdet i avviksmeldingen

• De berørte skal varsles i klart språk

69

Hva bør alle virksomheter gjøre nå?

• Sørge for å ha oversikt over hvilke personopplysninger de behandler

• Sørge for å oppfylle dagens lovkrav

• Sette seg inn i det nye regelverket

• Lage rutiner for å følge de nye reglene

70

Datatilsynet.no/forordning

postkasse@datatilsynet.no Telefon: +47 22 39 69 00

datatilsynet.no

personvernbloggen.no

Takk for meg!

hhu@datatilsynet.no